Jiayun's Blog

📌 前沿科技 · 开源治理深度 | Open Source Governance Deep Dive

这一周（2026-05-11 → 05-18），开源世界三件大事，发生在三个完全不同的栈层：

• 2026-05-12：Trail of Bits 宣布 fork Go 工具链 — 因为 Go 团队 8 年来对原生 fuzzing 的功能请求"礼貌性忽视"
• 2026-05-15：Drew DeVault 在 rust-lang/rust 仓库提议禁止 LLM 生成代码 — 引爆 Rust 社区数百条讨论
• 2026-05-17：Josef Prusa 公开指控 Bambu Lab 用『不可审计的网络黑盒』违反 AGPL — 涉及全球出货量 #2 的 FDM 3D 打印机厂商

这三件事单独看，分别是「测试工具」「贡献政策」「许可证执法」三个不同领域的新闻。串起来看，它们都是『开源治理在 AI 时代失效』的具体表现 — 而且失效的方向各不相同。

一、三件事的具体内容

1.1 Trail of Bits fork Go：上游响应不及预期，下游自己动手

Trail of Bits 是世界顶级的安全研究公司之一。他们 5 月 12 日的 blog 标题就很冲：“Go fuzzing was missing half the toolkit. We forked the toolchain to fix it.”

他们的具体诉求清单：

Trail of Bits 在过去 4 年里，向 Go 上游提交了 17 个 issue / 9 个 design doc / 3 个 prototype PR，全部以"我们会考虑"为结尾，9 年没动。他们的 fork 是一个不带感情色彩的工程决定。

1.2 rust-lang 的 LLM 提案：技术债 vs 入门门槛

Drew DeVault（sourcehut 创始人、Hare 语言作者、出名的 anti-LLM 倡导者）在 rust-lang/rust 仓库提了一个 PR，提议在 CONTRIBUTING.md 加入：

“Contributions that are primarily or substantially generated by Large Language Models will not be accepted.”

支持方的论点（来自数百条讨论里的核心子集）：

1. 审查成本：审 LLM PR 比审人写 PR 慢 3-5 倍 — 因为要反复确认它没编造 API、没引入 subtle UB
2. 责任稀释：如果 PR 出 bug，作者说"我让 Claude 写的"，无法 attribution
3. 训练数据污染：GPL 代码被 LLM"洗掉"再贡献回开源项目，license 灰区

反对方的论点：

1. 入门门槛：非英语母语者用 LLM 写 PR description 是合理的；这条规则可能误伤
2. 不可执行：你怎么知道哪段是 LLM 写的？技术上做不到 detection
3. 政治表态：变成 culture war 而不是 engineering policy

结果：rust-lang 治理委员会到目前为止没有官方回应，但 PR 已经成为社区分裂点。

1.3 Prusa vs Bambu：AGPL 在 IoT 时代的死结

Josef Prusa（捷克 Prusa Research 创始人）指控 Bambu Lab：

• Bambu 的固件基于 Marlin firmware 派生 — Marlin 是 GPLv3
• Bambu 把"打印控制"和"云连接 / 远程监控"分成两个模块，云模块是闭源 binary blob
• Prusa 论点：云模块在打印过程中向打印机发指令，构成 GPLv3 第 5 条意义下的"派生作品"，必须开源

Bambu 的反驳：

• 云模块只发送 G-code，不修改 Marlin 内部状态
• G-code 是行业标准，调用 G-code 不构成派生
• 类比：你用 curl 调用一个 API，不需要 API 服务器开源

技术上谁对？法律没结论，因为这是 AGPL/GPL 在 IoT 边缘场景的灰区。但这件事的真正意义在于：当硬件 + 云 + 边缘 firmware 三方耦合越来越深，“开源"这个概念在工程边界上正在融化。

二、统一的分析框架：三件事都是『治理跟不上速度』

把这三件事用同一个抓手分析：开源治理依赖的"贡献节奏"和"审查节奏"假设，在 AI + IoT + 商业化的合力下已经失效。

2.1 速度失配 1：上游决策 vs 下游需求

Go 工具链这件事，本质是 Google Go 团队的决策速度 « 工业界（Trail of Bits / 云原生 ecosystem）的需求增长速度。

Go 团队 2022 年还能"礼貌性忽视” — fuzzing 不是主流。但到 2026：

• Go 是 Kubernetes / Docker / Terraform / Vault 的语言
• 这些组件本身就是攻击面
• LLM 让中间层 bug 被快速发现 → 底层和工具层成为新战线（参见我们这周另一篇关于 Copy.Fail 的文章）

Go 上游的"慢"不再是设计哲学，是结构性失效。fork 是必然结果。

2.2 速度失配 2：LLM 产能 vs 人工审查

Rust 这件事，本质是 LLM 的 PR 产能曲线 vs 人工 reviewer 产能曲线已经发散。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

  PR 数量
   ▲
   │                                            ╱ LLM produced
   │                                          ╱
   │                                        ╱
   │                                      ╱
   │                                    ╱
   │ ────────────────────────────  ←  human reviewer capacity
   │                                  
   └─────────────────────────────────► 时间
         2022    2023    2024    2025    2026

Drew 的提案是一个临界响应：在治理框架来不及更新前，先用粗暴的规则保护项目。这条规则会被磨平、会被绕过，但它标记了"治理范式必须重新设计"的时刻。

2.3 速度失配 3：开源许可证 vs 硬件商业模式

Prusa vs Bambu 这件事，本质是 1989/2007 起草的 GPL/AGPL 没有预见到"硬件 + SaaS 后端 + 边缘固件"这种组合。

GPL 是为"软件二进制分发"设计的；当硬件出厂带固件，但 90% 的功能依赖云后端（云后端不分发，所以不触发 GPL），传统的 copyleft 机制失效。

这不是 Bambu 一家的问题。几乎所有现代 IoT 厂商都在这条灰区上：智能门锁、扫地机器人、汽车娱乐系统、智能手表… 它们的核心价值正在从"设备"转移到"云"。

三、被忽视的连接：这三件事会互相加强

如果你只看一件事，影响有限。但三件事的因果链是闭合的：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

       ┌────────────────────────────────────┐
       │  LLM 让代码贡献成本下降 10×          │
       └────────────────────────────────────┘
                       │
              ┌────────┴────────┐
              ▼                 ▼
      Rust 关 LLM 门槛      Go 上游响应跟不上 → fork
              │                 │
              ▼                 ▼
        贡献者池缩小         工具链碎片化
                       │
                       ▼
       ┌────────────────────────────────────┐
       │ 开源项目的"维护者-贡献者"模型瓦解     │
       └────────────────────────────────────┘
                       │
                       ▼
       ┌────────────────────────────────────┐
       │ 商业厂商更敢"半开源半闭源"（Bambu）   │
       └────────────────────────────────────┘

最终结果：开源世界出现"三层化"

1. 核心层（Linux kernel / Postgres / FFmpeg…）：维护者数量稳定，但贡献门槛大幅上升，AI 工具贡献被严控
2. 中间层（绝大多数 GitHub 项目）：被 AI bot 涌入、维护者疲惫、carrier-less 项目快速消亡或被 fork
3. 商业层（Bambu / 智能硬件 / 闭源 SaaS）：开源声明越来越名义化，实际 lockin 越来越强

这是一个不可逆的分化。

四、对几类人的实际建议

4.1 开源项目维护者

• 立刻写一份"AI 贡献政策"，无论是禁、是限、是放，讲清楚比模糊好
• 投资 CI / 自动化 review — cargo-vet, crev, osv-scanner 这些是 2026 必装
• 接受现实：你的项目要么进入"核心层"（窄而深），要么会变成"中间层"快速变化（宽而浅），中间地带越来越难

4.2 商业公司的 OSS 战略人

• 重新审计你公司的 OSS upstream 依赖 — fork 风险比一年前高很多
• 评估你硬件 + 云产品的"开源声明 vs 实际控制"是否扛得住 Prusa vs Bambu 这种诉讼
• AGPL 这种 strong copyleft license 在 IoT 场景的有效性即将经历法庭测试，提前准备

4.3 开发者（个人）

• 你的简历价值不在"LLM 用得多熟"，在"能否审查 LLM 输出"。后者会成为 2026-2028 的稀缺技能
• 选职业方向时考虑"AI 暴露度"：内核 / 编译器 / 协议 / formal methods，AI 暴露度低 → 价值上升
• 关注 LFX / Apache Software Foundation / Rust Foundation 等组织 — 它们正在重写开源治理规则，参与就是机会

五、一个被回避的判断

主流叙事说"AI 让开源更繁荣" — 但这一周三件事是一个反例。

真实情况是：AI 让"看起来像贡献的活动"暴涨，让"实际推进项目的活动"显著变难。维护者疲劳、license 灰区、工具链碎片，这些都是产能曲线和治理曲线发散的具体表现。

未来 3 年，开源不会"消亡"，但会重新分层：核心基础设施反而会更"封闭"（高门槛、严治理），中间地带会更"AI 化"（高产能、高噪声、低维护），商业边界会更"伪开源"（声明开放、实际控制）。

Trail of Bits、Drew DeVault、Josef Prusa 这三个人本周做的事，是第一批主动响应这个分化的人。后面会有更多。

📚 引用来源

1. Trail of Bits Blog — Go fuzzing was missing half the toolkit. We forked the toolchain to fix it. (2026-05-12) · https://blog.trailofbits.com/2026/05/12/go-fuzzing-was-missing-half-the-toolkit.-we-forked-the-toolchain-to-fix-it./
2. Drew DeVault — Add an LLM policy for rust-lang/rust (2026-05-15, sourcehut public list) · https://drewdevault.com/2026/05/15/llm-policy-rust.html
3. Tom’s Hardware — Josef Prusa says Bambu Lab allegedly violates AGPL license with an un-auditable network ‘black box’ (2026-05-17) · https://www.tomshardware.com/
4. Simon Willison — GDS weighs in on the NHS’s decision to retreat from Open Source (2026-05-17, 治理生态侧面) · https://simonwillison.net/
5. Xe Iaso — I’m really frustrated that GitLab is doing layoffs (2026-05-11, 开源商业化困境) · https://xeiaso.net/
6. Xe Iaso — Amazonbot is finally respecting robots.txt (2026-05-14, AI bot 治理) · https://xeiaso.net/